Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュリティポリシーの概要

ビジネスを保護するため、組織はLANとリソースへのアクセスを制御する必要があります。セキュリティ ポリシーは、一般的にこの目的に使用されます。LANを介した社内と、インターネットなどの外部ネットワークとのやり取りの両方で、安全なアクセスが必要です。Junos OSは、ステートフルファイアウォール、アプリケーションファイアウォール、ユーザーIDファイアウォールを通じて、強力なネットワークセキュリティ機能を提供します。3種類のファイアウォール適用はすべて、セキュリティポリシーによって実装されます。ステートフルファイアウォールポリシーの構文が拡張され、アプリケーションファイアウォールとユーザーIDファイアウォール用の追加のタプルが含まれるようになりました。

Junos OSのステートフルファイアウォールでは、セキュリティポリシーによって、ファイアウォールを通過できるトラフィックと、ファイアウォールを通過する際にトラフィックに対して実行する必要があるアクションに関して、トランジットトラフィックのルールが適用されます。セキュリティ ポリシーの観点からは、トラフィックは 1 つのセキュリティ ゾーンに入り、別のセキュリティ ゾーンから出ます。 このfromゾーン toゾーン の組み合わせは、 コンテキストと呼ばれます。各コンテキストには、ポリシー の順序付きリスト が含まれています。各ポリシーは、コンテキスト内で定義された順序で処理されます。

ユーザー インターフェイスから構成できるセキュリティ ポリシーは、指定された IP ソースから指定された IP 宛先にスケジュールされた時刻に許可されるトラフィックの種類を定義することによって、あるゾーンから別のゾーンへのトラフィック フローを制御します。

ポリシーを使用すると、あるセキュリティ ゾーンから別のセキュリティ ゾーンを通過しようとするトラフィックの拒否、許可、拒否(TCP RST または ICMP ポート到達不能メッセージの送信元ホストへの送信を拒否)、許可、拒否、暗号化と復号化、認証、優先順位付け、スケジュール、フィルタリング、および監視できます。どのユーザーとどのデータを出入りできるか、いつ、どこに移動できるかは、お客様が決定します。

メモ:

仮想システムをサポートするSRXシリーズファイアウォールの場合、ルートシステムに設定されたポリシーは、仮想システムに設定されたポリシーに影響しません。

SRXシリーズファイアウォールは、あるセキュリティゾーンから別のセキュリティゾーンへの通過を必要とするすべての接続試行を検査し、許可または拒否することで、ネットワークを保護します。

ロギング機能は、セッションの初期化()またはセッションの終了session-close(session-init)の段階でセキュリティポリシーを使用して有効にすることもできます。

  • 拒否された接続からのログを表示するには、ログオン session-initを有効にします。

  • 終了/破棄後にセッションをログに記録するには、ログオン session-closeを有効にします。

メモ:

セッションログはフローコードでリアルタイムで有効になり、ユーザーのパフォーマンスに影響を与えます。および session-init の両方session-closeが有効になっている場合、有効にするsession-initのみの場合と比較して、パフォーマンスはさらに低下します。

SRX300、SRX320、SRX340、SRX345、SRX380および SRX550M デバイスには、工場出荷時のデフォルトのセキュリティ ポリシーが用意されています。

  • trustゾーンからuntrustゾーンへのすべてのトラフィックを許可します。

  • 信頼ゾーン間、つまりtrustゾーンからイントラゾーンのtrustゾーンへのすべてのトラフィックを許可します。

  • untrust ゾーンから trust ゾーンへのすべてのトラフィックを拒否します。

ポリシーを作成することで、指定した送信元から指定した宛先にスケジュールされた時刻に通過を許可するトラフィックの種類を定義することで、ゾーンからゾーンへのトラフィック フローを制御できます。

最も広いレベルでは、スケジュール制限なしで、1 つのゾーン内の任意の送信元から他のすべてのゾーン内の任意の宛先へのあらゆる種類のトラフィックを許可できます。最も狭いレベルでは、あるゾーン内の指定されたホストと別のゾーン内の指定された別のホストの間で、スケジュールされた時間間隔内に 1 種類のトラフィックのみを許可するポリシーを作成できます。 図1を参照してください。

図 1: セキュリティ ポリシー Security Policy

パケットがあるゾーンから別のゾーンへ、または同じゾーンにバインドされた2つのインターフェイス間を通過しようとするたびに、デバイスはそのようなトラフィックを許可するポリシーをチェックします( セキュリティゾーンについて および 例:セキュリティポリシーアプリケーションとアプリケーションセットの設定を参照)。あるセキュリティゾーンから別のセキュリティゾーン(ゾーンAからゾーンBなど)へのトラフィックの通過を許可するには、ゾーンAがゾーンBにトラフィックを送信することを許可するポリシーを構成する必要があります。トラフィックが逆方向に流れるようにするには、ゾーン B からゾーン A へのトラフィックを許可する別のポリシーを構成する必要があります。

データ トラフィックがゾーン間を通過できるようにするには、ファイアウォール ポリシーを構成する必要があります。

関連ドキュメント